Gryffine — история одного пет-проекта

[mc2]

А почему не сделать свой ВПН и прикрыть его через port knocking?

[PressXToWin]

Есть множество способов осложнить проникновение злоумышленника на сервер. В данной статье они не рассматриваются.

[baldr]

Довольно интересное решение, однако, не делает ли всё то же самое Radius?

[PressXToWin]

Не будет ли это слишком тяжёлым решением для того, чтобы просто в красивой табличке посмотреть логи?

[baldr]

Я сам с Radius не работал, но это первое что пришло на ум при упоминании ssh/pam. То есть вы рассматривали этот вариант?

У вас же не просто логи в табличке - это Django, база данных, какой-то мониторинг и бэкап этого - то есть тоже не бесплатно если делать нормально.

[aeder]

Машину которая логи пишет подключите через data diode - тогда совсем нормально будет.

[micronull]

причиной была утечка пароля от аккаунта одного из сотрудников

У вас вход по ssh был защищён только паролем?

[PressXToWin]

У меня — нет, у моего знакомого в конторе — да. Думаю, после инцидента они сделали выводы и поменяли способ авторизации на что-то более безопасное.

[micronull]

Как минимум у себя делаю:

• Авторизацию по ssh ключам + пароль.

• Меняю порты по умолчанию.

• Добавляю задержки между попытками входа, если нет.

[Opaspap]

• Авторизацию по ssh ключам + пароль.

А как вы это реализовали ?